VBR Rootkit (Mayachok.2) вернулся

[Dmitriy K 603]

Небольшой рескан. Доктор стал определять. На комода внимания не обращаем - детектит по хэшу.

https://www.virustotal.com/file/8ccddae1086...sis/1329156487/

https://www.virustotal.com/file/2ecdfa1e211...sis/1329156483/

[K_Mikhail 807]

Попробовал, понравилось. Раньше не пользовался. Спасибо.

K_Mikhail, повторил заражение на 3-х снимках виртуалки. У меня тоже третий не перезагрузил машину

Потому как, как выясняется, третий семпл - отличная от первых двух семплов версия.

Если между первыми двумя дампами VBR разница невелика:

то между дампами VBR первого и третьего (который не перегружает машину) разница более заметна:

И вот как раз дамп этого самого третьего оказался вне поля зрения добавленной сегодня записи Trojan.Mayachok.2, хотя все оставшиеся дропперы и дампы их VBR были мной отправлены ещё вчера в вируслаб Dr.Web.

https://www.virustotal.com/file/6a536a0bb1e...9a2fd/analysis/

-----------------------------------------------------------------------------Start scanning-----------------------------------------------------------------------------Limit the use of the processor to 50%Object(s) to scan:- F:\Virtualbox_share\xx\9\500\$Boot_2020.dmp- F:\Virtualbox_share\xx\9\500\$Boot_2030.dmp- F:\Virtualbox_share\xx\9\500\$Boot_3000.dmpF:\Virtualbox_share\xx\9\500\$Boot_2020.dmp - infected with Trojan.Mayachok.2F:\Virtualbox_share\xx\9\500\$Boot_2030.dmp - infected with Trojan.Mayachok.2F:\Virtualbox_share\xx\9\500\$Boot_2020.dmp - infected, incurable - 937ms, 8192 bytesF:\Virtualbox_share\xx\9\500\$Boot_2030.dmp - infected, incurable - 1007ms, 8192 bytesF:\Virtualbox_share\xx\9\500\$Boot_3000.dmp - Ok - 1405ms, 8192 bytes

[RomaNNN 5]

Насчет дампов я как раз разговариваю с аналитиком. Думаю, завтра будет все добавлено...

А с каким у DrWeb 7.0 возникли проблемы с лечением?

[K_Mikhail 807]

Насчет дампов я как раз разговариваю с аналитиком. Думаю, завтра будет все добавлено...

Я даже знаю кем именно.

А с каким у DrWeb 7.0 возникли проблемы с лечением?

Я подожду пока всё не будет корректно детектироваться, потом сам, если не будет лень и будет воспроизводиться, накатаю репорт.

[RomaNNN 5]

Я подожду пока всё не будет корректно детектироваться, потом сам, если не будет лень и будет воспроизводиться, накатаю репорт.

Оставьте это мне

[K_Mikhail 807]

Оставьте это мне

Та на здоровье и да пребудет с Вами кЭпочка.

[RomaNNN 5]

Та на здоровье и да пребудет с Вами кЭпочка.

[Dmitry Varshavsky 65]

С сегодняшними базами вышел детект бут-сектора семейства Mayachok ( Rootlit.Boot.Cidox.B )

Чуть подробнее тут: http://virusblokada.blog.tut.by/2012/02/14...achok/#more-287

[RomaNNN 5]

В DrWeb 7.0 добавлено лечение BOOT-секторов с перезагрузкой.

Контрольный перескан:

1) 2020.exe

Дроппер

VBR

MBR

2) 2030.exe

Дроппер

VBR

MBR

3) 3000.exe

Дроппер

VBR

MBR

[Aleksandra 10]

Знать бы еще, что за ключик такой...

Генерируется как и раньше в HKLM\Software\Classes\CLSID

[Vvvyg 12]

вири часто палят именно VM, и не хотят её юзать.

Насколько я понял отсюда Studying Cidox, маячок детектирует виртуалки от VMware.

[Юрий Паршин 330]

Товарищи, не забывайте, что этот руткит работает и под x64. А там ситуация с лечением печальнее.

П.С. Если кто захочет проверить KIS 2012 и Cidox на x64, то для него нужно обновление антируткита (источник обновлений ftp://dnl-test.kaspersky-labs.com/test/tim2).

[Aleksandra 10]

Насколько я понял отсюда Studying Cidox, маячок детектирует виртуалки от VMware.

Не, и там про первый вариант.

[K_Mikhail 807]

В DrWeb 7.0 добавлено лечение BOOT-секторов с перезагрузкой.

MBR

А MBR здесь причём?

P.S. Я недаром же написал, что Вы прошли мимо истины. Хоть и близко. Хотя бы потому, что исправление пока находится в бете, ещё не выпущено в релиз. Ну, и есть пара моментов, о которых Вы, очевидно, не знаете.

[Vvvyg 12]

Не, и там про первый вариант.

Я правильно понимаю, что буткитный маячок имеет мало отношения к классическому, который в AppInit_DLLs прописывается?

[Юрий Паршин 330]

А MBR здесь причём?

P.S. Я недаром же написал, что Вы прошли мимо истины. Хоть и близко. Хотя бы потому, что исправление пока находится в бете, ещё не выпущено в релиз. Ну, и есть пара моментов, о которых Вы, очевидно, не знаете.

А исправление под x64 будет?

[K_Mikhail 807]

А исправление под x64 будет?

По х64 пока ничего сказать не могу. Сейчас сам ещё попробую посмотреть...

... Должно ж быть, по идее, если есть что исправлять.

[K_Mikhail 807]

Посмотрел х64 - пока всё плохо. После ребута VBR остаётся инфицированным. О чём уведомил разработчиков.

UPD TDSSKiller на х64 лечит корректно.

Скрины не делал - в одном случае лень, а в другом - не успеваю поймать момент, где пишет Cure error.

UPD 2 Ну, вот так разве что:

-----------------------------------------------------------------------------Start curing-----------------------------------------------------------------------------Active OS/2 or NT Boot Sector HDD0 Partition1 - incurableHDD0 Active OS/2 or WinNT Boot Sector - infected, write error

Похоже, даёт о себе знать IRP хук, о котором Юрий говорил...

[KIS_fan 17]

Товарищи, не забывайте, что этот руткит работает и под x64. А там ситуация с лечением печальнее.

П.С. Если кто захочет проверить KIS 2012 и Cidox на x64, то для него нужно обновление антируткита (источник обновлений ftp://dnl-test.kaspersky-labs.com/test/tim2.

А что обновление ещё в общие базы не вышло ?

[sww 486]

А что обновление ещё в общие базы не вышло ?

Нам страшно

[StamilT 15]

Я правильно понимаю, что буткитный маячок имеет мало отношения к классическому, который в AppInit_DLLs прописывается?

Да. Там dll'ка загружается в пространство каждого процесса и никакого заражения VBR.

Некоторые вендоры даже дали разный детект для Маячка.1 и Маячка.2

[Юрий Паршин 330]

А что обновление ещё в общие базы не вышло ?

По данной ссылке - обновление антируткита, детект и лечение Cidox-а в общих базах еще с субботы.

[sww 486]

По данной ссылке - обновление антируткита, детект и лечение Cidox-а в общих базах еще с субботы.

А, да-да, я значит про другое обновление

[Danilka 678]

А, да-да, я значит про другое обновление

А точно в том "обновлении" заявлено то, что действительно "обновилось"?

[StamilT 15]

Это детект VBR